Consulta sobre OpenVPN y Shorewall
Estimados, hace tiempo me estoy volviendo loco y no puedo lograr hacer que shorewall me filtre los clientes de OpenVPN!! Les cuento como viene la cosa: Tengo mi OpenVPN con la siguiente configuracion: server.cfg script-security 2 port 1194 proto udp dev tun0 management localhost 7794 crl-verify /etc/openvpn/easy-rsa/keys/crl.pem ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh2048.pem plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf username-as-common-name auth-user-pass-verify auth/auth.pl via-env server 10.21.0.0 255.255.0.0 ifconfig 10.21.0.1 255.255.0.0 client-config-dir /etc/openvpn/ccd ifconfig-pool-persist ipp.txt client-to-client keepalive 10 120 comp-lzo max-clients 200 persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log log-append /var/log/openvpn/openvpn.log verb 5 ping-restart 0 El archivo ccd de mi usuario es: marc.ccd ifconfig-push 10.21.44.85 10.21.44.86 push "route 192.168.0.0 255.255.255.0" push "route 172.16.0.0 255.255.0.0" push "route 192.168.254.0 255.255.255.0" Hasta aqui todo bien, llego bien a la LOC (asi llame a mi red local en shorewall) y a la DMZ. Si pongo en las rules de shorewall: DROP vpn:10.21.44.85 dmz all Me bloquea perfectamente! Pero si pongo: DROP vpn:10.21.44.85 loc all No surte efecto, y de echo agregue info en todas las polices y no tengo informacion de nada sobre ese IP en los logs!!! En el shorewall lo tengo configurado asi: tunnels openvpnserver:1194 dmz0.0.0.0/0 ### interfaces -tun0detect tcpflags # hosts vpn tun0:10.21.0.0/16 # zones vpn ipv4 # Intente agregar un host que sea vpn44 con el rango de mi IP, ya que uso multiples subnets porque uso la topology vieja de OpenVPN net30 y me quedaba corto con los hosts, agregue las polices en DROP, reglas y demas, y sigue pasando lo mismo! Alguien sabe que puede ser lo que este sucediendo? Ya me estoy comiendo la cabeza y no logro hacerlo funcionar!!! Desde ya agradezco toda informacion que sea util!!! Saludos! MarC
Re: consulta sobre openvpn
http://openvpn.net/index.php/open-source/documentation.html
Re: consulta sobre openvpn
El 09/08/11 07:36, gnuino angeles escribió: Hola, me pueden dar una ayuda, necesito configurar un servidor VPN. Alguien me puede dar algún alcance para este servicio? Necesito conectar la red de un cliente a la red donde me encuentro, ellos tienen una solución vpn con juniper. Es posible realizar esta conectividad con OpenVPN??? saludos Claro que se puede, como te han apuntado ya te toca leer doc. Yo lo tengo montado y permito que los currantes que se mueven fuera de la oficina conecten a ella, yo mismo estoy a muchos km de la oficina y anteriormente conectaba con ssh pero la red por el motivo que sea producía cortes en dicha conexión de manera aleatoria,,, ahora con openvpn trabajando en UDP no se cortan las conexiones ssh, tengo acceso a las impresoras y puestos de la red LAN, etc -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e40e081.2040...@gmail.com
Re: consulta sobre openvpn
gracias por el dato 2011/8/9 ZorroPlateado i32lelor.deb...@gmail.com El 09/08/11 07:36, gnuino angeles escribió: Hola, me pueden dar una ayuda, necesito configurar un servidor VPN. Alguien me puede dar algún alcance para este servicio? Necesito conectar la red de un cliente a la red donde me encuentro, ellos tienen una solución vpn con juniper. Es posible realizar esta conectividad con OpenVPN??? saludos Claro que se puede, como te han apuntado ya te toca leer doc. Yo lo tengo montado y permito que los currantes que se mueven fuera de la oficina conecten a ella, yo mismo estoy a muchos km de la oficina y anteriormente conectaba con ssh pero la red por el motivo que sea producía cortes en dicha conexión de manera aleatoria,,, ahora con openvpn trabajando en UDP no se cortan las conexiones ssh, tengo acceso a las impresoras y puestos de la red LAN, etc -- To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@**lists.debian.orgdebian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**4e40e081.2040...@gmail.comhttp://lists.debian.org/4e40e081.2040...@gmail.com -- Miguel Angel Angeles Ramon Asesoria en Conectividad y Servidores Movil 994606059
consulta sobre openvpn
Hola, me pueden dar una ayuda, necesito configurar un servidor VPN. Alguien me puede dar algún alcance para este servicio? Necesito conectar la red de un cliente a la red donde me encuentro, ellos tienen una solución vpn con juniper. Es posible realizar esta conectividad con OpenVPN??? saludos
Re: Consulta sobre OpenVPN
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hola Angel. El martes 27 de octubre del 2009 a las 23:48:26 -0300, Angel Claudio Alvarez escribió: proba con esto http://www.openvpn.net/index.php/open-source/documentation/howto.html#redirect Te cuento que ya lo pude solucionar hace unos días, y aunque recién leo tu respuesta la solución tiene que ver con algo de lo que dice allí, aunque no con todo. El tema era tener en el host donde se encuentra instalado el servidor OVPN habilitado IP forwarding (cosa que ya estaba) y agregar una regla Netfilter para que realice masquerading (que era lo que estaba faltando): # iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE No hacía falta agregar alguna ruta estática en el firewall, así que la saque. Gracias por responder. Saludos, Daniel -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAkr2IZkACgkQZpa/GxTmHTe6OQCeLILhy10CWvPpoNF8AvvT57YL kz0An2Hmrdcf0+etkWKkH13XFK1AM8U9 =yfku -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Consulta sobre OpenVPN
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hola! Estuve haciendo un primer intento de levantar una VPN entre casa y la oficina. El escenario desde el lado de casa es el siguiente: +--+ +---+ +--+ /\___ | Servidor |_| Firewall |_| Router |_/ Internet\ | OpenVPN | | GNU/Linux | | ADSL | \ / +--+ +---+ +--+ \___/ Red local: 10.1.0.0/24 Red VPN: 10.8.0.0/24 En cuanto a la configuración en el firewall con GNU/Linux (usando Shorewall), solo agregué una regla de DNAT al servidor OpenVPN. Creo que es lo único que estaría haciendo falta. Además de esto, en el router agregué una regla que haga forwarding del tráfico proveniente de su propia WAN con puerto 1194 a la interfaz que tiene en el otro extremo que da con el firewall GNU/Linux. Hasta acá, levantando un cliente OpenVPN en la oficina pude comprobar que el túnel queda establecido, pero solo estoy pudiendo llegar al servidor OpenVPN. El resto de los hosts de mi red local están inalcanzables. La siguiente es una captura con tcpump en el servidor OpenVPN al hacer un ping desde la oficina a uno de los hosts de casa: # tcpdump -i tun0 tcpdump: WARNING: arptype 65534 not supported by libpcap - falling back to cooked socket tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 07:08:17.231084 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 47698, seq 1, length 64 07:08:18.233021 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 47698, seq 2, length 64 07:08:19.231793 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 47698, seq 3, length 64 Parece ser que estuviera faltando la vuelta. Entonces, investigando un poco en Internet, probé agregando lo siguiente: * Agregar en mi firewall GNU/Linux una regla para que todo el tráfico que vaya a la red 10.8.0.0/24 sea alcanzado a través de la IP del servidor OpenVPN: # route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.1.0.4 * Habilitar forwarding en el servidor OpenVPN: # echo 1 /proc/sys/net/ipv4/ip_forward Y volví a hacer la prueba: 07:13:17.213590 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 55380, seq 1, length 64 07:13:17.213942 IP ns1.freesoftware.org 10.8.0.6: ICMP echo reply, id 55380, seq 1, length 64 07:13:18.215097 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 55380, seq 2, length 64 07:13:18.215433 IP ns1.freesoftware.org 10.8.0.6: ICMP echo reply, id 55380, seq 2, length 64 07:13:19.215920 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 55380, seq 3, length 64 07:13:19.216272 IP ns1.freesoftware.org 10.8.0.6: ICMP echo reply, id 55380, seq 3, length 64 De esta manera ya pude llegar con ping/nmap a los otros hosts de la red. Pero en pruebas que estuve haciendo hay momentos en que al intentar loguearme por ssh podía hacerlo y en otros momentos no pudiendo comprobar que cuando era incapaz de hacerlo tcpdump mostraba un problema similar al que comentaba más arriba. Me da la impresión que sigue existiendo algún problema de ruteo en alguna parte. Si se les ocurre algo que me pueda iluminar, será bienvenido ;-) Gracias anticipadas por responder. Saludos, Daniel -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAkrnk5gACgkQZpa/GxTmHTdu/gCfUexCAoJK1IZyzdUsAEgeZiiu VxwAnRLMMy7BpiqqdHsozuQKsAVHeq0j =QzEF -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Consulta sobre OpenVPN
El mar, 27-10-2009 a las 21:42 -0300, Daniel Bareiro escribió: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hola! Estuve haciendo un primer intento de levantar una VPN entre casa y la oficina. El escenario desde el lado de casa es el siguiente: +--+ +---+ +--+ /\___ | Servidor |_| Firewall |_| Router |_/ Internet\ | OpenVPN | | GNU/Linux | | ADSL | \ / +--+ +---+ +--+ \___/ Red local: 10.1.0.0/24 Red VPN: 10.8.0.0/24 En cuanto a la configuración en el firewall con GNU/Linux (usando Shorewall), solo agregué una regla de DNAT al servidor OpenVPN. Creo que es lo único que estaría haciendo falta. Además de esto, en el router agregué una regla que haga forwarding del tráfico proveniente de su propia WAN con puerto 1194 a la interfaz que tiene en el otro extremo que da con el firewall GNU/Linux. Hasta acá, levantando un cliente OpenVPN en la oficina pude comprobar que el túnel queda establecido, pero solo estoy pudiendo llegar al servidor OpenVPN. El resto de los hosts de mi red local están inalcanzables. La siguiente es una captura con tcpump en el servidor OpenVPN al hacer un ping desde la oficina a uno de los hosts de casa: # tcpdump -i tun0 tcpdump: WARNING: arptype 65534 not supported by libpcap - falling back to cooked socket tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 07:08:17.231084 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 47698, seq 1, length 64 07:08:18.233021 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 47698, seq 2, length 64 07:08:19.231793 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 47698, seq 3, length 64 Parece ser que estuviera faltando la vuelta. Entonces, investigando un poco en Internet, probé agregando lo siguiente: * Agregar en mi firewall GNU/Linux una regla para que todo el tráfico que vaya a la red 10.8.0.0/24 sea alcanzado a través de la IP del servidor OpenVPN: # route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.1.0.4 * Habilitar forwarding en el servidor OpenVPN: # echo 1 /proc/sys/net/ipv4/ip_forward Y volví a hacer la prueba: 07:13:17.213590 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 55380, seq 1, length 64 07:13:17.213942 IP ns1.freesoftware.org 10.8.0.6: ICMP echo reply, id 55380, seq 1, length 64 07:13:18.215097 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 55380, seq 2, length 64 07:13:18.215433 IP ns1.freesoftware.org 10.8.0.6: ICMP echo reply, id 55380, seq 2, length 64 07:13:19.215920 IP 10.8.0.6 ns1.freesoftware.org: ICMP echo request, id 55380, seq 3, length 64 07:13:19.216272 IP ns1.freesoftware.org 10.8.0.6: ICMP echo reply, id 55380, seq 3, length 64 De esta manera ya pude llegar con ping/nmap a los otros hosts de la red. Pero en pruebas que estuve haciendo hay momentos en que al intentar loguearme por ssh podía hacerlo y en otros momentos no pudiendo comprobar que cuando era incapaz de hacerlo tcpdump mostraba un problema similar al que comentaba más arriba. Me da la impresión que sigue existiendo algún problema de ruteo en alguna parte. Si se les ocurre algo que me pueda iluminar, será bienvenido ;-) Gracias anticipadas por responder. proba con esto http://www.openvpn.net/index.php/open-source/documentation/howto.html#redirect Saludos, Daniel -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAkrnk5gACgkQZpa/GxTmHTdu/gCfUexCAoJK1IZyzdUsAEgeZiiu VxwAnRLMMy7BpiqqdHsozuQKsAVHeq0j =QzEF -END PGP SIGNATURE- signature.asc Description: Esta parte del mensaje está firmada digitalmente